首页 > theory > CST > > 正文

理清用户组概念及文件权限—搞懂网站权限设置

点击:

用户与群组』的功能可是相当健全而好用的一个安全防护,操作系统对文件权限的管理,其复杂程度上远远超出我们的想象。经典的三位数字权限,根本就不是判断权限的可靠理由

关于用户,用户组,角色和权限

用户组:比如 现在有4组,把一些功能赋给组

  • 第1组 可以删除

  • 第2组 可以查看

  • 第3组 可以编辑

  • 第4组 可以新增

当某一角色  比如管理员 普通管理员就是2个角色  分别属于不同的用户组 那么他实现的功能就不一样了

从而实现控制

  • 一个用户组可以有多种权限 设置好知道 在把角色添加进去就可以了

  • 一个用户的角色和权限来自两部分,一部分继承于所有父用户组的角色和权限,另一部分来自特别为其分配的角色和权限

管理员可以做任何事情, 不受任何约束

用户的管理方法,在设计时采取“用户——角色——许可”三级,这是WINDOWS操作系统的用户管理方法。一个用户可以有多个角色,一个角色也可以有多个许可。

  所以有数据库设计时分别设计:


  用户表:设UserID、用户名、用户信息

  角色表:设RoleID、CategoryID、RoleName、Description

  用户角色表:UserID、RoleID

  

  分类表:CategoryID、CategoryName、Description

  许可表:PermissionID、CategoryID、PermissionName、Description

  角色许可表:RoleID、PermissionID

  

设计好数据库后,即可以从事设计用户、角色、许可的类。类库分数据层类,完成建立、查询、删除、更新等操作。业务层的类,需要实现与数据无关功能,建立如用户拥有角色、许可的列表,验证方式等。

在Linux里面,任何一个文件都具有『User, Group及Others』三种身份的个别权限, 我们可以将上面的说明以底下的图示来解释:

0210filepermission_1.jpg

我们以王三毛为例,王三毛这个『文件』的拥有者为王三毛,他属于王大毛这个群组, 而张小猪相对于王三毛,则只是一个『其他人(others)』而已。


不过,这里有个特殊的人物要来介绍的,那就是『万能的天神』!这个天神具有无限的神力, 所以他可以到达任何他想要去的地方,呵呵!那个人在Linux系统中的身份代号是『 root 』啦!所以要小心喔!那个root可是『万能的天神』喔!


linux中权限(-rwxrwxrwx=777)

当你在linux下用命令ll 或者ls -la的时候会看到这些字眼,这些字眼表示为不同用户组的权限:

r:read就是读权限 --数字4表示

w:write就是写权限 --数字2表示

x:excute就是执行权限 --数字1表示


读、写、运行三项权限可以用数字表示,就是r=4,w=2,x=1。

这个我之前也有疑问,为什么读是4而写2,执行是1,为什么这样安排?(不明白点击查看)

数字设置权限就是 -_ _ _ _ _ _ _ _ _-,分别为

0210filepermission_3.gif

所以,-rw-r--r--用数字表示成644,比如用FileZilla设置权限,

Screen Shot 2018-03-20 at 17.56.05.png

以上的其他用户,不包括root这个super user。

文件各权限的作用

1、目录

  a、进入目录,即cd命令,所需要的权限为执行权限(x)

  b、查看目录内的文件,即ls命令,需要的权限为读取权限(r)

  c、创建删除目录内的文件夹/文件,即mkdir/touch命名,需要的权限为写如权限(w)


顺便说下目录只影响下一级的,隔代不影响,好比一个目录abc/sub/,如果abc没有w权限,但sub有w权限,则可以在sub中创建文件,当然abc也需要有x权限,否则都进不去更不用说创建了,但只要能进去(可以通过切换root管理员的方法),就不会再受abc的影响,只会受sub的影响。

一般我们目录会给5(rx)的权限,也就是读取和执行权限,只有图片上传或缓存等目录需要创建的才会给7(rwx)的权限

2、文件

  a、文件打开,可以用cat/vim命令打开,所需权限为读取权限(r)

  b、文件修改,可以用cat/vim命令打开并保存,所需权限为写入权限(w)

  c、文件执行,可以直接./abc.out等执行,所需要权限为执行权限(x)


这里需要说明的的是php(或者shell等)无论是命令行执行还是web端执行,名为执行,实际上是读取文件到php内核中取解析,所以只要有读取权限(r)就可以。


一般我们文件会给4(r)权限,也就是读取权限,只有日志、缓存等需要向文件中写入内容的才会给6(rx)权限


之所以上方没有说755,777、644权限,而仅仅是是说单个的权限,是因为你的网站目录所属的权限不能确保与执行时所用的用户什么关系,也就是说执行时的用户可能是owner、可能是group也可能是other

shell命令查看与修改文件权限

查看文件权限命令简单 ls -l  

修改文件权限命令  chmod -R   (权限)(目录) ——修改文件夹内所有的文件和文件夹及子文件夹属性为可写可读可执行

比如 chmod -R 744 zhoulujun/

php执行时的权限


我们自己在ssh连接linux操作时必须要有个用户名才能登录操作,同样php要想处理php相关的文件,也是在某个用户下操作的,而用户是在哪里创建或定义的呢,一般会是在安装php环境时创建的,例如apache,nginx等环境都会默认创建用户和用户组,而php的读取时就用此用户来读取。

所以网站php文件 要设置 754,html文件,设置744即可。

事实上对于用户程序来说,一个文件能否读/写/执行,根本就不能提前判定。我们编程时唯一的办法就是“试一试”——不做任何提前判断,直接把操作执行出去,出错了再说。


而此时如果判执行权限,那就非常危险了:php解释器尝试执行,如果成功了,那么执行此文件的行为就必然会发生,不可避免。这就意味着php解释器可以执行任何有执行权的文件,哪怕不是php代码也没关系。


这样在系统被黑,存在未知文件植入的情况下,我们就将失去php解释器的最后一层保护,黑客可以通过php解释器,任意执行任何语言编写的一切恶意程序。其后果将是毁灭性的。


所以“调用php命令来执行脚本时只需读取权限”,这个是当然的,也是必须的。


简而言之:任何语言的解释器,都只要求操作系统尝试读取代码文件,得到代码文本。解释器在得到代码文本之后,会自行负责后续的工作,无需操作系统染指。解释器和代码的关系,犹如编辑器和文稿文件的关系。解释器绝对不会委托操作系统去执行任意文件。


java也是这样的。一切解释型语言的解释器都是这样的,没有任何例外——过去没有,现在也没有,将来更不可能有。


参考文章:

linux中权限(-rwxrwxrwx=777

理清PHP在Linxu下执行时的文件权限方法

关于用户,用户组,角色和权限

第六章、Linux 的文件权限与目录配置

linux权限课程:http://www.imooc.com/learn/481